• 解決済 konomimomose

    (@konomimomose)


    WordPressでいくつかサイトを作成しています。
    昨日(4/6)早朝までは問題なく使えていたのですが、
    今朝ログインしてみると、管理画面には入れるのですが、ダッシュボードの表示が崩れて真っ白になってしまっています。全てのドメインで発生しています。
    また、ダッシュボード画面の項目からクリックすると
    Warning: require(サイトアドレス.com/public_html/wp-admin/wp-blog-header.php): failed to open stream: No such file or directory in /サイトアドレス.com/public_html/wp-admin/index.php on line 20

    Fatal error: require(): Failed opening required ‘/サイトアドレス.com/public_html/wp-admin/wp-blog-header.php’ (include_path=’.:/opt/php-7.4.25/data/pear’) in /サイトアドレス.com/public_html/wp-admin/index.php on line 20
    という表示が出たり、403エラーの画面になってしまいます。
    パーミッションの問題と出ているのですが、サーバー画面からwp-configのパーミッションを400に変更しても解決しません。

    また、一部サイト内のリンクが(aboutページなど)アドレスは変わっていないのに全く関係のない通販サイトになっています。

    試しにサブドメインを取得して、新しくWordPressをインストールしたのですが、症状が同じなのでプラグインやテーマの問題ではないような気はします。

    どのような原因が考えられるでしょうか?
    対処法など併せてご対応お願いします。

9件の返信を表示中 - 1 - 9件目 (全9件中)
  • > 昨日(4/6)早朝までは問題なく使えていたのですが、
    今朝ログインしてみると、管理画面には入れるのですが、ダッシュボードの表示が崩れて真っ白になってしまっています。

    > 一部サイト内のリンクが(aboutページなど)アドレスは変わっていないのに全く関係のない通販サイトになっています。

    この2つの事象からもしかするとソースの改ざんを受けているのではないかなと思います。

    > Warning: require(サイトアドレス.com/public_html/wp-admin/wp-blog-header.php): failed to open stream: No such file or directory in /サイトアドレス.com/public_html/wp-admin/index.php on line 20

    このメッセージについては、/public_html/wp-admin/wp-blog-header.phpが見つからないことを指しているので、もし可能であればFTPでサーバに接続し、実際にファイルが存在するか確認してみてください。

    また、その他ファイルのタイムスタンプを見て昨日から今日事象確認した時間までの間に書き換えられているようなものがないか確認してみるといいかもしれません。

    トピック投稿者 konomimomose

    (@konomimomose)

    お返事ありがとうございます。
    調べてみると、/public_html/wp-admin/wp-blog-header.php は見つかりません。
    削除されてしまったということなのでしょうか・・・

    また、自分が絶対ログインしない時間に更新があったりしています。
    サーバー(エックスサーバー)にも問い合わせており、
    public/wp-admin直下の.htaccessのファイルの削除や

    public_html/直下の.htaccess内の以下の記述のコメントアウトもアドバイスをもらっているのですが
    変化ありません。
    <FilesMatch “.(py|exe|php)$”>
    Order allow,deny
    Deny from all
    </FilesMatch>
    <FilesMatch “^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$”>
    Order allow,deny
    Allow from all
    </FilesMatch>`

    ソースの改ざんとなると、何かに感染した・何かから攻撃を受けていると考えた方がいいでしょうか?
    その場合の復旧方法も教えて頂きたいです。
    申し訳ございませんが初心者で、このような事態は初めてで混乱しております。。

    よろしくお願いいたします。

    恐らく改ざんを受けたのではないかなと考えられます。
    Wordpressの場合、ソースファイルの改ざんを受ける入り口は2箇所ありまして、
    一つは通常のWordpressログイン画面からログインID,パスワードを突破されてダッシュボード上から改ざんを受けるケース。
    もう一つが、サーバ接続情報が漏洩してFTP等から改ざんを受けるケースです。

    前者については、サーバのアクセスログを確認すれば不正ログイン試行の形跡が確認できると思います。
    アクセスログについては、基本的にサーバのコントロールパネルから確認できると思いますので、4/6~4/7の間で怪しいログがないか確認してみるといいと思います。

    後者については、サーバのコントロールパネル上でログ確認できる場合とできない場合があります。(サーバ会社によって異なります。)
    これについては、Xサーバーに問い合わせれば確認が取れるかもしれません。

    さて、本題の復旧についてですが、
    プラグイン等でバックアップファイルを保管していればそのバックアップファイルで復旧が行えます。

    もしバックアップファイルがない場合は、問題を引き起こしているファイルを発見し個別に対応するような形になります。

    @konomimomose さん

    こんにちは。

    <FilesMatch “^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$”>
    Order allow,deny
    Allow from all
    </FilesMatch>

    .htaccess における上記記述が、まさに改ざん攻撃を受けている証拠で、WordPress本体のデータも改ざんされている可能性があります。

    ご自身で対応する事が難しそうであれば、専門業者に相談されてみるのも良いと思います。

    こんにちは

    .htaccess を修正しても改善しないのは、ブラウザが .htaccess をキャッシュしているためではないかと思います。
    ブラウザのキャッシュを削除するか、別のブラウザなどで確認してみてください。

    @akkman10932
    改ざんを受けるのはアカウント情報の漏洩だけではありません。
    プラグインやテーマ、WordPressコアなどの SQLインジェクション、任意のファイルをアップロードできる、リモートコード実行などの脆弱性を利用しての改ざんが実際に起こっています。

    ですので、改ざんされた場合には、さまざまな方面から脆弱な部分に対応することが必要です。

    復旧するにあたり、以下の作業を早めに行うことをお勧めします。

    1. 改ざんされた時期の把握
    アクセスログやGoogle Analyticsをみて、異常のある時期を確認してください。
    アクセスログであれば、
    ・WordPressのログイン試行
    ・WordPressのプラグインの手動アップロード機能の利用
    ・外部へ301リダイレクトしているログがあるか

    Google Analyticsであれば、
    ・ユーザーの数が極端に減ったタイミング
     特に、メディアがオーガニックの場合

    URLの直接入力やブックマークからのアクセスであればリダイレクトしない、という作りになっているケースを多く見かけます。
    これはサイトオーナーに改ざんを気付かれにくくするためだと考えられます。
    4/6以前に改ざんされている可能性もあるため、客観的なデータから確認してみてください。

    2. XSERVERの自動バックアップ機能で、問題ないであろう時期のバックアップデータ取得
    XSERVERとのことなので、ファイル一式は1週間前まで、DBは2週間前までのバックアップデータが取得できます。
    1で確認した、問題がなかった時期のバックアップデータを取得しておくことで復旧作業が幾分楽になるかと思います。
    もし、プラグインでサーバー外にバックアップデータを取得しているのであればこれは省略しても大丈夫です。

    トピック投稿者 konomimomose

    (@konomimomose)

    お返事ありがとうございます。
    昨夜、エックスサーバーからも不正アクセスのメールがきていました。
    改ざんされたのはおそらく6/5~6/6の間かと思います。
    (サーバーを見ると、私が触っていない時間帯に更新されているので)

    エックスサーバーからの指示では、
    改ざんされた可能性の高いファイル(リストアップしてもらえました)を削除してくれと言われています。
    ⇒今朝、削除済。エックスサーバーに報告したところです。

    バックアップは取得中です。
    個人的にはもうサーバーの初期化をしたいと思っているのですが、
    エックスサーバーの自動バックアップの取得だと同じサーバー内に保存することになるのでしょうか?
    そうすると、初期化すると消えるのでしょうか・・・?

    また、初期化したら上記バックアップデータは取得できなくなるのでしょうか?

    質問ばかりで申し訳ございませんが、よろしくお願いいたします。

    エックスサーバーの自動バックアップの取得だと同じサーバー内に保存することになるのでしょうか?
    そうすると、初期化すると消えるのでしょうか・・・?

    また、初期化したら上記バックアップデータは取得できなくなるのでしょうか?

    これは XSERVER に聞かれたら良いと思います。

    トピック投稿者 konomimomose

    (@konomimomose)

    お返事遅くなりまして申し訳ありません。
    エックスサーバーサポートからの指示で対処したところ、無事復旧できました。

    上記質問内容については
    ・エックスサーバーの自動バックアップデータは初期化しても消えない
    との回答をいただきました。

    今回は不正なファイルの削除・新しいwordpressのインストールのみで復旧可能でした。

    皆様様々なご意見ありがとうございました!

9件の返信を表示中 - 1 - 9件目 (全9件中)
  • トピック「403エラー、関係ない通販サイトにリンクしてしまうエラー」には新たに返信することはできません。